入侵檢測(cè)對(duì)象應(yīng)用

前言：本站為你精心整理了入侵檢測(cè)對(duì)象應(yīng)用范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要在入侵檢測(cè)系統(tǒng)設(shè)計(jì)原理的基礎(chǔ)上，結(jié)合各類分布式入侵檢測(cè)系統(tǒng)及各系統(tǒng)內(nèi)構(gòu)件之間信息共享的需求，通過(guò)分析CISL語(yǔ)言的特點(diǎn)，描述了CISL語(yǔ)言用以表示通用入侵檢測(cè)對(duì)象(GIDO)的生成規(guī)則，并以Linux系統(tǒng)審計(jì)日志中檢測(cè)口令猜測(cè)攻擊的內(nèi)容演示了通用入侵檢測(cè)對(duì)象的生成，編碼等應(yīng)用過(guò)程，最后給出一個(gè)模擬結(jié)果。

關(guān)鍵詞入侵檢測(cè)；通用入侵檢測(cè)對(duì)象；通用入侵描述語(yǔ)言；語(yǔ)義標(biāo)識(shí)符

1引言

計(jì)算機(jī)網(wǎng)絡(luò)在我們的日常生活中扮演著越來(lái)越重要的角色，與此同時(shí)，出于各種目的，它正日益成為犯罪分子攻擊的目標(biāo)，黑客們?cè)噲D使用他們所能找到的方法侵入他人的系統(tǒng)。為此，我們必須采取有效地對(duì)策以阻止這類犯罪發(fā)生。開(kāi)發(fā)具有嚴(yán)格審計(jì)機(jī)制的安全操作系統(tǒng)是一種可行方案，然而綜合考慮其實(shí)現(xiàn)代價(jià)，在許多問(wèn)題上作出少許讓步以換取減少系統(tǒng)實(shí)現(xiàn)的難度卻又是必要的。因此，在操作系統(tǒng)之上，再加一層專門用于安全防范的應(yīng)用系統(tǒng)成為人們追求的目標(biāo)。入侵檢測(cè)技術(shù)即是這樣一種技術(shù)，它和其它安全技術(shù)一道構(gòu)成計(jì)算機(jī)系統(tǒng)安全防線的重要組成部分。自從DorothyE.Denning1987年提出入侵檢測(cè)的理論模型后[1]，關(guān)于入侵檢測(cè)的研究方法就層出不窮[5-7]，基于不同檢測(cè)對(duì)象及不同檢測(cè)原理的入侵檢測(cè)系統(tǒng)被研制并投放市場(chǎng)，取得了顯著成效，然而，遺憾的是這些產(chǎn)品自成一體，相互間缺少信息交流與協(xié)作，而作為防范入侵的技術(shù)產(chǎn)品，這勢(shì)必削弱了它們的防范能力，因而如何使不同的入侵檢測(cè)系統(tǒng)構(gòu)件能夠有效地交流合作，共享它們的檢測(cè)結(jié)果是當(dāng)前亟待解決的一個(gè)問(wèn)題。入侵檢測(cè)系統(tǒng)框架的標(biāo)準(zhǔn)化，數(shù)據(jù)格式的標(biāo)準(zhǔn)化[2]為解決這一問(wèn)題作了一個(gè)有益的嘗試。本文主要針對(duì)入侵檢測(cè)數(shù)據(jù)格式的標(biāo)準(zhǔn)化——通用入侵檢測(cè)對(duì)象進(jìn)行分析應(yīng)用，并通過(guò)一個(gè)實(shí)際例子介紹了我們的具體實(shí)踐過(guò)程。

入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”[2-4]。從技術(shù)上劃分，入侵檢測(cè)有兩種模型[2，4]：①異常檢測(cè)模型(AnomalyDetection)；②誤用檢測(cè)模型(MisuseDetection)。按照檢測(cè)對(duì)象劃分有：基于主機(jī)、基于網(wǎng)絡(luò)及混合型三種。

入侵檢測(cè)過(guò)程主要有三個(gè)部分[4]：即信息收集、信息分析和結(jié)果處理。

2通用入侵檢測(cè)對(duì)象(GIDO)

為解決入侵檢測(cè)系統(tǒng)之間的互操作性，國(guó)際上的一些研究組織開(kāi)展了標(biāo)準(zhǔn)化工作，目前對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化工作的有兩個(gè)組織：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美國(guó)國(guó)防部高級(jí)研究計(jì)劃局贊助研究，現(xiàn)在由CIDF工作組負(fù)責(zé)，是一個(gè)開(kāi)放組織。CIDF規(guī)定了一個(gè)入侵檢測(cè)系統(tǒng)應(yīng)包括的基本組件。CISL(CommonIntrusionSpecificationLanguage，通用入侵規(guī)范語(yǔ)言)是CIDF組件間彼此通信的語(yǔ)言。由于CIDF就是對(duì)協(xié)議和接口標(biāo)準(zhǔn)化的嘗試，因此CISL就是對(duì)入侵檢測(cè)研究的語(yǔ)言進(jìn)行標(biāo)準(zhǔn)化的嘗試[8]。

CISL語(yǔ)言為了實(shí)現(xiàn)自定義功能，以S-表達(dá)式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表達(dá)式以各類語(yǔ)義標(biāo)識(shí)符(SemanticIdentifeers)為標(biāo)記，分別有動(dòng)作SID、角色SID、屬性SID、原子SID、連接SID、指示SID和SID擴(kuò)展名等類型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

<Data>：：=<SimpleAtom>

<Data>：：=<ArrayAtom>

<Data>：：=<SExpressionList>

<SExpressionList>：：=<SExpression>

<SExpressionList>：：=<SExpression><SExpressionList>

入侵檢測(cè)組件交流信息時(shí)，以GIDO為標(biāo)準(zhǔn)數(shù)據(jù)格式傳輸內(nèi)容，GIDO所包含的內(nèi)容常來(lái)自于各類審計(jì)日志，網(wǎng)絡(luò)數(shù)據(jù)包，應(yīng)用程序的跟蹤信息等。

CISL對(duì)S-表達(dá)式編碼規(guī)則遵循遞歸原則，具體如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>：：=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>：：=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>：：=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>：：=<SExpression>

E[SExpressionList]：：=E[SExpression]

<SExpressionList>：：=<SExpression><SExpressionList>

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

對(duì)于每一個(gè)GIDO的基本成份SID，CISL都有規(guī)定的編碼，通過(guò)這些編碼本身的信息可知這些SID是原子SID還是非原子SID。原子SID在編碼中不能繼續(xù)分解，而是直接帶有具體的值。值有簡(jiǎn)單類型和數(shù)組類型[8]。

GIDO以各類SID為標(biāo)志，組成樹(shù)形結(jié)構(gòu)，根結(jié)點(diǎn)為該GIDO的標(biāo)志SID，各子樹(shù)的根結(jié)點(diǎn)為相應(yīng)的對(duì)該GIDO所描述的事件起關(guān)鍵作用的SID。編碼時(shí)，每棵子樹(shù)的根結(jié)點(diǎn)前附加該子樹(shù)所有孩子結(jié)點(diǎn)編碼的總長(zhǎng)度，以遞歸方式完成GIDO編碼，一個(gè)詳細(xì)的實(shí)例可參考文獻(xiàn)[8]。

3通用入侵檢測(cè)對(duì)象的應(yīng)用

我們以Linux環(huán)境為例，在檢測(cè)口令猜測(cè)攻擊中，系統(tǒng)的日志文件會(huì)產(chǎn)生以LOGIN_FAILED為標(biāo)志的日志記錄[9-10]。在IDS的事件產(chǎn)生器中，讀取日志文件中含有LOGIN_FAILED的記錄生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相應(yīng)的GIDO為：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其編碼過(guò)程除了遵循前面所描述的規(guī)則外，還使用了文獻(xiàn)[2]所建議的各類API。它們分別用于生成存放GIDO的空樹(shù)、向空樹(shù)附加根結(jié)點(diǎn)、附加數(shù)據(jù)、附加子樹(shù)及對(duì)整個(gè)樹(shù)編碼。

當(dāng)一個(gè)GIDO由事件產(chǎn)生器完成編碼后，便發(fā)送至事件分析器按一定的規(guī)則分析所接收的GIDOs以便確定是否有入侵發(fā)生，若有則將有關(guān)信息發(fā)至控制臺(tái)。對(duì)口令猜測(cè)攻擊的GIDO，一個(gè)可行的處理流程如圖1所示。

假定系統(tǒng)檢測(cè)到30秒內(nèi)發(fā)生了三次或以上登錄失敗，認(rèn)為系統(tǒng)受到入侵，便發(fā)出相應(yīng)報(bào)警信息。則本例輸出結(jié)果(從不同終端登錄)如圖2所示。

圖1對(duì)口令猜測(cè)攻擊事件產(chǎn)生的GIDO的處理流程

圖2一個(gè)口令猜測(cè)攻擊的模擬檢測(cè)結(jié)果

4結(jié)束語(yǔ)

本文在深入分析入侵檢測(cè)基本原理及入侵檢測(cè)說(shuō)明語(yǔ)言CISL基礎(chǔ)上，對(duì)入侵檢測(cè)對(duì)象GIDO的編碼進(jìn)行了詳細(xì)說(shuō)明。在系統(tǒng)設(shè)計(jì)的實(shí)踐過(guò)程中，分別使用了入侵檢測(cè)標(biāo)準(zhǔn)化組織提出的草案中包含的有關(guān)接口。但在本文中也只是針對(duì)一類特定入侵的事件說(shuō)明如何生成并編碼GIDOs。事實(shí)上，入侵檢測(cè)系統(tǒng)各構(gòu)件之間的通信本身也需要安全保障，這一點(diǎn)參考文獻(xiàn)[8]，可利用GIDO的附加部分來(lái)實(shí)現(xiàn)，其中所用技術(shù)(諸如簽名，加密等)可借鑒目前一些較成熟的安全通信技術(shù)。

參考文獻(xiàn)

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蔣建春，馬恒太等網(wǎng)絡(luò)入侵檢測(cè)綜述[J].軟件學(xué)報(bào)2000.11(11)：1460-1466

[3]GB/T18336，信息技術(shù)安全技術(shù)安全性評(píng)估標(biāo)準(zhǔn)[S]。

[4]蔣建春，馮登國(guó)。網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M]，國(guó)防工業(yè)出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

[9]葉和平.基于LINUX環(huán)境的入侵檢測(cè)系統(tǒng)研究[D]廣州中山大學(xué)2002

[10]周巍松LINUX操作系統(tǒng)分析與高級(jí)教程[M]，北京：機(jī)械工業(yè)出版社2000.3